在 Dataproc 上執行重要業務工作負載,需由多方各司其職,本頁列舉 Google 和客戶雙方主要責任 (請注意,此清單並非詳盡無遺)。
Dataproc:Google 的責任
保護底層基礎架構,諸如硬體、韌體、核心、作業系統、儲存空間、網路等。其中包括:
- 根據預設對靜態資料進行加密
- 提供額外的客戶管理型磁碟加密功能
- 加密傳輸中的資料
- 使用客製化設計硬體
- 鋪設私人網路線
- 保護資料中心免於不當的實體存取行為
- 使用Shielded 節點保護系統啟動載入程式和核心,避免遭到竄改
- 使用 VPC Service Controls 提供網路保護
- 遵循安全的軟體開發做法
發布 Dataproc 映像檔的安全性修補程式。其中包括:
- 適用於 Dataproc 映像檔 基本作業系統 (Ubuntu、Debian 和 Rocky Linux) 的修補程式
- 適用於 Dataproc 映像檔內建開放原始碼元件的修補程式和修正檔。客戶有責任利用現有最新的 Dataproc 映像檔版本。
提供 Connect、Identity and Access Management、Cloud 稽核記錄、Cloud Key Management Service、Security Command Center 等服務適用的 Google Cloud 整合功能。
基於合約規定的支援義務,透過資料存取透明化控管機制和存取權核准程序,限制並記錄 Google 管理員對客戶叢集的存取活動。
針對 Dataproc 和 Dataproc 映像檔內建的開放原始碼元件,提供有關組態設定的最佳做法建議
Dataproc:客戶的責任
維護工作負載,包括應用程式程式碼、自訂映像檔、資料、IAM (身分與存取權管理) 政策以及客戶執行的叢集
使用最新修正版本映像檔,在最新 Dataproc 映像檔上執行叢集、即時重新整理自訂映像檔,並盡快遷移至最新修正版本映像檔。映像檔中繼資料包含
previous-subminor標籤,如果叢集未使用最新修正版本映像檔,系統會將該標籤設為true。有關如何查看映像檔的中繼資料,請參閱「版本管理須知」。提供所需的環境詳細資料,以利 Google 進行疑難排解。
對於 Dataproc、其他 Google Cloud服務以及 Dataproc 映像檔中開放原始碼元件的設定,均遵循相關最佳做法。